RSAC 2022现场：微软SRC负责人称供应链攻击会越来越严重

编译：代码卫士

微软安全响应中心负责人 Aanchal Gupta 指出，近年来发生的大型供应链攻击事件如 SolarWinds、Kaseya 和 Log4j 等“只是冰上一角”。

她在接受RSA会议现场采访时指出，“所有这些都是大事件。但我认为攻击将会继续且更多，而我这样想是有原因的。”

Gupta 作为MSRC的负责人，具有独特的优势，观点涵盖微软所有的产品和服务，并且对行业合作伙伴的软件和工具以及客户环境（包括政府机构在内）具有可见性。她指出，“供应链攻击将继续的原因是我们对第三方软件和开源软件的依赖性只增不减。这种趋势不会在短时间内降温。”

这种依赖对于网络犯罪分子是有利的，因为他们能够找到一家企业环境中的未修复漏洞并借此感染组织机构的客户和合作伙伴。Gupta 表示，“就像我们在 Nobelium 组织身上看到的那样”，她指的组织是入侵SolarWinds 公司的俄罗斯黑客组织机构，“它还为网络犯罪分子带来规模经济。”

她还补充道，“Log4j 带来的其中一点启示是，它的使用范围多么普遍。”由于热门Apache Log4j 日志库广泛应用于企业应用和云服务中，该远程代码执行缺陷使Log4j 成为备受网络犯罪分子青睐的目标。

她指出，“我将其比作食品储藏柜中食品中的盐。如果我让你扔掉所有含盐的东西，你就会说：你是让我清空食品储藏柜吗？因为到处都是盐。”

Gupta 此前曾是微软和Facebook 公司的开发人员，她指出当看到Log4j exploit 的新闻爆发后，她的反应是，“它是我曾在2000年写代码时使用的同一个程序包吗？真的是！天哪，人们还在用它？而且使用量已增长。”

软件产品的成分清单

这就是她认为企业为何需要“成分清单”（即软件物料清单SBOM）的原因——尤其是需要拥有对产品中所使用的开源和第三方代码的清单。

Gupta表示，“当我们交付或使用某些东西时，下游依赖是什么？我们意识到这一点很重要。”微软维护着软件依赖索引，帮助MSRC快速响应 Log4j 漏洞。她指出，“组织机构必须优先处理这项工作。”

她将软件比作食品，指出企业应当了解成分的来源，这意味着需要询问厂商的安全策略并进行审计，另外还要对开源软件开展代码审计。

Gupta 表示，“第三件事我认为是信任但信任需要验证。即使你信任提供依赖的厂商，但你仍然应当进行验证。”

原文链接

https://www.theregister.com/2022/06/09/microsoft_supply_chain_attacks/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。